{"id":7525,"date":"2026-05-13T10:08:33","date_gmt":"2026-05-13T08:08:33","guid":{"rendered":"https:\/\/smartersec.com\/?p=7525"},"modified":"2026-05-13T10:08:34","modified_gmt":"2026-05-13T08:08:34","slug":"sap-security-patchday-05-2026-wir-verabschieden-uns-von-einem-alten-bekannten","status":"publish","type":"post","link":"https:\/\/smartersec.com\/de\/sap-security-patchday-05-2026-wir-verabschieden-uns-von-einem-alten-bekannten\/","title":{"rendered":"SAP Security Patchday 05\/2026: Wir verabschieden uns von einem alten Bekannten."},"content":{"rendered":"\n

Zun\u00e4chst die wichtigsten Fakten: 15 neue Sicherheitshinweise<\/strong>, 1 Aktualisierung eines Hinweises<\/strong> aus dem letzten Monat und 1 Hot News<\/strong> mit einem CVSS von 0.0. Ja, Sie haben richtig gelesen. Mehr zu dieser Kuriosit\u00e4t am Ende.<\/p>\n\n\n\n

smarterSec Hinweis:<\/strong>
Wenn Sie SAP einsetzen, ist das Installieren von Patches nicht nur „eine Option“ und „Nice-to-have“. Das war es noch nie. Was Sebastian Sch\u00f6nh\u00f6fer in unserem Webinar vom ersten Quartal 2026<\/a> gezeigt hat, sollte alle verbleibenden Zweifel ausr\u00e4umen: Selbst eine \u201emoderate\u201c Schwachstelle mit einem CVSS-Score von 5,5 reicht einem versierten Angreifer aus, um echten Schaden anzurichten.<\/p>\n\n\n\n

<\/div>\n\n\n

Ganz oben. Eine SQL Injection…Schon wieder! (Note 3724838 | CVSS 9.6)<\/strong><\/h3>\n\n\n\n

\u00c4hnlich wie bei der Meldung mit h\u00f6chster Priorit\u00e4t vom April handelt es sich auch diesmal um eine SQL-Injection-Sicherheitsl\u00fccke. Diesmal unter der Nummer 3724838. Betroffen ist eine Vielzahl von ABAP-basierten SAP-NetWeaver-AS-Systemen, darunter auch Ihre S\/4HANA-Landschaft. Mit einem CVSS-Score von 9,6 sollten Sie diese Meldung nicht auf die lange Bank schieben: Sofortiges Handeln ist erforderlich.<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n

SAP Commerce Cloud im Visier (Note 3733064 | CVSS 9.6)<\/strong><\/h3>\n\n\n\n

Der Hinweis mit zweith\u00f6chster Priorit\u00e4t betrifft die SAP Commerce Cloud. Da dieses Produkt nicht im Portfolio jedes Kunden enthalten ist, haben einige von Ihnen diesen Monat vielleicht leichtes Spiel. Die technische Grundlage bildet hier ein Java-Stack. Wenn Sie die Commerce Cloud einsetzen, sollten Sie umgehend die neuesten Support Packages installieren.<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n

OS Command Execution in NW AS ABAP (Note 3732471)<\/strong><\/h3>\n\n\n\n

Als N\u00e4chstes folgt Hinweis 3732471, der ebenfalls auf NetWeaver AS ABAP basiert und eine Sicherheitsl\u00fccke bei der Ausf\u00fchrung von Betriebssystembefehlen behebt \u2013 eine Schwachstelle, die stets zu den kritischsten z\u00e4hlt. Der Fix f\u00fchrt neue Berechtigungspr\u00fcfungen ein, was sofort die Frage aufwirft: Wie wirkt sich das auf meine bestehenden Anwendungen und Rollen aus?<\/p>\n\n\n\n

Ein hervorragendes Werkzeug zur Beantwortung dieser Frage ist der ABAP Call Monitor, der dabei hilft, festzustellen, welche Benutzer den betreffenden Code ausgef\u00fchrt haben und deren Rollen daher m\u00f6glicherweise angepasst werden m\u00fcssen, um nach dem Patch keinen Problem zu bekommen.<\/p>\n\n\n\n

Ben\u00f6tigen Sie Hilfe mit dem ABAP Call Monitor? Kontaktieren Sie uns.<\/a><\/p>\n\n\n\n

<\/div>\n\n\n

Lebe wohl, RSBDCOS0 (Note 3730019)<\/strong><\/h3>\n\n\n\n

Nun zu einem etwas wehm\u00fctigen Moment: Mit dem Hinweis 3730019 stellt SAP den Report RSBDCOS0 offiziell ein. Ein Tool, an das sich viele langj\u00e4hrige Basis-Mitarbeiter erinnern werden. Es fungierte im Wesentlichen als ABAP-basierte Shell, mit der man direkt aus dem SAP-GUI heraus mit dem Betriebssystem interagieren konnte.<\/p>\n\n\n\n

Aus Sicherheitssicht macht die Stilllegung durchaus Sinn. Das Tool war von seiner Konzeption her ein dauerhaftes Einfallstor f\u00fcr potenzielle OS-Command Injections. Die interessantere Frage lautet: Warum wird diese Transaktion gerade jetzt abgeschafft? Eine sehr wahrscheinliche Antwort ist \u201eRISE with SAP\u201c, welches die Verantwortung auf Betriebssystemebene von den Kunden auf SAP verlagert. Tools wie RSBDCOS0 sind nicht nur riskant, sondern auch mit diesem Betriebsmodell nicht vereinbar.<\/p>\n\n\n\n

<\/div>\n\n\n

Eine Supply Chain Attack mit einem CVSS 0.0? (Hot News 3747787)<\/strong><\/h3>\n\n\n\n

Das hier verdient einen zweiten Blick. Der SAP Hot News-Hinweis 3747787 befasst sich mit dem SAP-CAP-Supply-Chain-Angriff (auch bekannt als \u201eMini Shai-Hulud\u201c) und weist einen CVSS-Wert von 0,0 auf.<\/p>\n\n\n\n

Wie kann ein Supply-Chain-Angriff einen Wert von Null erreichen? Weil CVSS die Ausnutzbarkeit und die Auswirkungen innerhalb eines definierten Umfangs misst und in diesem Fall die Schwachstelle bereits an der Quelle behoben wurde, was bedeutet, dass zum Zeitpunkt der Ver\u00f6ffentlichung des Hinweises kein ausnutzbarer Vektor mehr vorhanden ist. Der Wert spiegelt den Zustand nach der Behebung wider, nicht die Schwere des m\u00f6glichen Vorfalls.<\/p>\n\n\n\n

Machen Sie jedoch keinen Fehler: Dies ist f\u00fcr jeden Kunden, der auf Basis des SAP Cloud Application Programming Model (CAP) entwickelt, \u00e4u\u00dferst wichtig. Wenn dies auf Sie zutrifft, verdient dieser Hinweis unabh\u00e4ngig vom Score sofortige Beachtung.<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n

Stay patched, stay secure, stay smart.<\/em><\/p>\n\n\n\n

<\/div>\n\n\n

Sind Sie von der monatlichen Flut an Hinweisen \u00fcberfordert?
<\/strong>Die manuelle Auswertung dieser Hinweise kostet Zeit, die Sie vielleicht nicht haben. Wenn Sie sichergehen m\u00f6chten, dass Ihnen kein wichtiger Patch entgeht, lassen Sie sich von uns helfen.<\/p>\n\n\n\n

Wir bieten daher unseren SAP Security Notes Service<\/a><\/strong> an, um Ihren Patch-Prozess zu optimieren und Ihre Systeme resilienter zu machen.<\/p>\n\n\n\n

\n
\n
\n \n \n \n
\n \r\n\r\n\r\n\r\n\r\n\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\t\t\r\n\t\t\t\r\n\t\t\t\t\r\n\t\t<\/g>\r\n\t<\/g>\r\n\t\r\n\t\t\r\n\t<\/g>\r\n<\/g>\r\n<\/svg>\r\n<\/div> \n
\n \n\n

Haben Sie Fragen zum Patch Day oder zu SAP Sicherheit im Allgemeinen?<\/strong><\/p>\n\n\n\n

Bitte kontaktieren Sie uns direkt!<\/strong><\/p>\n\n <\/div>\n\n

\n \n Kontakt <\/a>\n <\/div>\n \n <\/div>\n <\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Der SAP Patchday im Mai bringt 15 neue Security Notes, darunter zwei mit CVSS 9.6 \u2014 eine SQL-Injection in NetWeaver AS ABAP und S\/4HANA, eine weitere in SAP Commerce Cloud. Dazu: die \u00fcberf\u00e4llige Abk\u00fcndigung von RSBDCOS0 und eine Supply-Chain-Angriffs-Note mit dem ungew\u00f6hnlichen Score von CVSS 0.0. Was jetzt zu tun ist \u2014 und warum.<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":["post-7525","post","type-post","status-publish","format-standard","hentry","category-sap-security-patch-day-de"],"aioseo_notices":[],"acf":[],"_links":{"self":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/7525","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/comments?post=7525"}],"version-history":[{"count":10,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/7525\/revisions"}],"predecessor-version":[{"id":7539,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/posts\/7525\/revisions\/7539"}],"wp:attachment":[{"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/media?parent=7525"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/categories?post=7525"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartersec.com\/de\/wp-json\/wp\/v2\/tags?post=7525"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}